멀쩡한 사파리 업데이트로 위장한 인스톨러로 애드웨어를 유포하는 수법이 발견돼 사용자의 주의가 필요해 보입니다.
오늘 보안 전문사이트 'Malwarebytes'에 올라온 소식입니다.
'지난주 우리는 사파리를 최신 버전으로 업데이트해준다고 하면서 MacKeeper와 ZipCloud를 설치하고 시스템을 파괴하는 매우 불쾌하고 비열한 속임수를 발견했다.
'First Row Sports'라는 사기 스포츠 스트리밍 사이트에서 영상 재생 버튼을 누르자 사파리 최신 버전이 필요하다며 사파리 업데이트를 유도하는 페이지가 열렸다. 여기서 'Update Now' 버튼을 누르니 'Apple Safari Setup.dmg'라는 이름의 디스크 이미지 파일이 다운로드되었으며, 파일을 열자 애플의 정식 인스톨러와는 생김새가 전혀 다른 인스톨러가 나타났다.
가짜 인스톨러라는 것을 눈치 챘지만 어쨌든 설치를 계속 진행했다.
인스톨러를 실행하자 야후! 로고와 함께 사파리용 '검색 도우미'를 설치한다는 창이 나타났고, 그 뒤를 이어 MacKeeper 설치 동의창이 나타났다. 안내문의 크기는 상대적으로 작고 균일했으며, 눈에 익은 MacKeeper 로고는 어디에서도 찾을 수 없었다. 마지막으로 ZipCloud를 설치하는 것에 동의하니 MacKeeper와 ZipCloud가 자동으로 실행되었다.
광고를 띄우거나 페이지를 가로채는 웹 브라우저 확장 프로그램은 발견되지 않았다. 하지만 크롬과 파이어폭스의 기본 홈페이지, 검색엔진 설정은 변조돼 있었다.
흥미로운 부분은 인스톨러 안에 포함된 사파리는 변조되지 않은 깨끗한 상태라는 점이다. 아마 애플이 배포하는 인스톨러에 애드웨어만 심어둔 것으로 보인다. 그런데 OS X 버전 확인 과정 없이 사파리 8을 강제로 설치하는 바람에 사파리가 완전히 파괴되었다. 내가 쓰는 OS X 매버릭스는 사파리 7까지만 지원하기 때문이다. 시스템에 사파리를 되살리는 유일한 방법은 OS X을 재설치하는 것 뿐이었다.
이 가짜 사파리 업데이트의 피해를 입은 경우 시스템에서 즉시 MacKeeper와 ZipCloud를 삭제하고, OS X을 다시 설치하길 권한다. 하드 디스크를 포맷할 필요 없이 운영체제만 신선한 파일로 덮어씌워주면 된다."
휴.... 날로 교묘해지고 대담해지는 악성코드 배포 수법을 보고 있으면 탄식이 절로 나옵니다.
OS X 매버릭스 기준으로 작성된 글이라 OS X 요세미티에선 어떤 상황이 발생할지 확실치 않습니다. 인스톨러에 포함된 사파리 자체는 삼자의 손을 타지 않은 순정 상태라고 하니 OS X을 재설치할 필요는 없을 것 같고 MacKeeper와 ZipCloud가 설치되었는지, 웹브라우저 홈페이지와 검색엔진 설정이 바뀌었는지 정도만 확인해 보시면 될 듯합니다. *MacKeeper와 ZipCloud를 삭제하는 방법은 별도의 포스트로 소개해 드린 적이 있습니다.
궁극적으로 출처가 불확실한 곳에서 내려받은 프로그램을 설치할 때 무조건 '예'를 누르시는 분들은 습관을 바꾸시는 게 무엇보다 중요해 보입니다.
참조
• Malwarebytes - Fake Safari update installs MacKeeper, ZipCloud
관련 글
• 'MacKeeper'를 클릭 한 번으로 깨끗이 지워드립니다... 'DetectX'
• 맥에서 MacKeeper를 깨끗이 삭제하는 방법
• 애드웨어 감염여부를 손쉽게 진단하고 제거할 수 있는 'AdwareMedic'
